日志文件。 记录Windows及其各种服务的运行细节,对加强Windows的稳定性和安全性起着重要的作用。 但是,很多用户并不注意保护它,一些“wwdmy”擅自清空日志文件,给系统带来了严重的安全隐患。
一.什么是日志文件
日志文件是Windows中比较特殊的文件,它记录了Windows中发生的一切,包括启动、运行和关闭各种系统服务。 Windows日志包含APP应用程序、安全和系统等几个部分,它们的存储路径为“%systemroot%system32config”,并包含APP应用程序日志、安全日志和系统SecEvent.evt和sysevent .这些文件受到事件日志服务的保护。 不能删除,但可以为空。
二.日志文件的显示方法
在Windows上查看日志文件很简单。 单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,在事件查看器窗口的左栏中列出本机包含的日志类型,包括APP查看器、安全、系统等。 看某个日志记录也很容易。 在左栏中选择某种类型的日志(如APP事件),然后在右栏中列出该类型的日志的所有记录。 双击其中的一条记录,将显示“事件属性”对话框,其中显示该记录的详细信息。 这样可以准确控制系统发生了什么,是否影响了Windows的正常运行,并在出现问题时立即查找和消除。
三.保护Windows日志文件
日志文件对我们来说非常重要,因此,无视其保护,无法避免一些“不法分子”将日志文件清洗干净的情况。
1 .更改日志文件保存目录
Windows日志文件的默认路径为%systemroot%system32config。 您可以通过修改注册表来更改存储目录,以增强日志保护。
单击“开始”“运行”,在对话框中输入Regedit,然后回车打开注册表编辑器,再单击“HKEY _ local _ machine/system/current control ssedit”
以APP应用程序日志为例,将其移动到d:cce目录中。 选择APP的子代,然后在右栏中找到文件键。 其键值将在APP应用程序日志文件的路径“% systemroot % system32 config appevent.evt”中更改为“d:cceAppEvent.Evt”。 然后,在光驱中创建" CCE "目录,将" AppEvent.Evt "复制到该目录,然后重新启动系统以完成对APP应用程序日志文件保存目录的更改。 其他类型的日志文件的路径更改方法相同,但在不同的子代下操作。
2 .设置文件访问权限
更改日志文件的保存目录也可以使日志为空。 以下,通过更改日志文件的访问权限来避免发生这种情况。 它假定Windows采用NTFS文件系统格式。
右键单击d驱动器上的CCE目录,选择“属性”,切换到“安全”选项卡,然后首先取消选中“允许将来从父级继承的权限传播到此对象”选项。 然后在“帐户”列表框中选择" Everyone "帐户,仅授予“读取”权限; 然后单击“添加”按钮将" System "帐户添加到“帐户”列表框,并赋予“完全控制”和“修改”之外的所有权限,最后单击“确定”按钮。 这样,如果用户清空Windows日志,则会显示错误对话框。
四. Windows登录实例分析
Windows日志记录了很多操作事项,用户为了管理它们,对每个品种型的事情赋予了唯一的编号。 这就是事件ID。
1 .查看正常关机记录
在Windows中,可以在事件查看器的系统日志中查看计算机的打开和关闭记录。 这是因为日志服务将与计算机一起启动或关闭,并且日志中会保留记录。 这里介绍“6005和6005”这两件事。 6005表示事件日志服务已启动,如果在事件查看器中找到某一天事件ID号为6005的事件,则表示当天Windows已成功启动。 6006表示事件日志服务已停止,如果事件查看器在某一天未找到事件ID号为6006的事件,则表示计算机在这一天未成功关闭,原因是系统或直接关机,系统正常
显示DHCP配置的更正信息
在较大范围的网络中,通常使用DHCP服务器配置客户机的IP地址信息。 如果客户机找不到DHCP服务器,它会自动使用内部IP地址配置客户机,并在Windows日志中生成事务ID号为1007的事件。 如果用户在日志中找到此号码,则表示该计算机无法从DHCP服务器获取信息,因此必须确定这是该计算机的网络问题,还是DHCP服务器问题。